Was passiert ab 02. August 2026?

Ab diesem Datum hat die Bundesnetzagentur den vollen Sanktionsrahmen. Bei Verstößen gegen die KI-Kompetenz-Pflicht aus Art. 4: bis 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes. Bei KMU der niedrigere Betrag.

Wer muss eigentlich geschult werden?

Alle Personen, die in Ihrem Auftrag mit KI-Systemen arbeiten: fest angestellte Mitarbeitende, Leiharbeit, Praktikanten, externe Dienstleister und freie Mitarbeitende. Die EU-Kommission hat das im AI Literacy FAQ vom 19.11.2025 klargestellt.

Ist KIcert ein offiziell anerkanntes Zertifikat?

Nein, und Artikel 4 verlangt das auch nicht. KIcert dokumentiert die Schulungsmaßnahme nach BNetzA-Hinweispapier 06/2025: Curriculum-Version, Lerner-ID, Quiz-Score, Reflexionsantworten, eingesetzte KI-Systeme, QR-Verifikation.

Trust Center · Stand 20.05.2026

Datenschutz, Sicherheit, Compliance

KIcert hostet ausschließlich in der EU, dokumentiert alle Sub-Prozessoren, schließt mit jedem Tenant einen Auftragsverarbeitungsvertrag und ist auf dem Pfad zur ISO 27001:2022-Zertifizierung (Q2 2027).

System

Operational

● live

EU-Hosting

100 %

verifiziert

ISO 27001

Q2 2027

in Vorbereitung

Pen-Test

jährlich

geplant Q3 26

Datenstandort

Alle Kunden- und Schulungsdaten werden ausschließlich in Rechenzentren innerhalb der Europäischen Union verarbeitet. Hauptstandort ist Frankfurt am Main (Supabase, Vercel, Hetzner). Eine Verarbeitung in den USA findet ausschließlich durch zwei klar abgegrenzte Sub-Prozessoren statt, die keine personenbezogenen Daten verarbeiten: Higgsfield (KI-Video-Generierung mit anonymen Prompts) und ElevenLabs (Voice-Over, EU-Region buchbar).

Übermittlung in Drittländer erfolgt ausschließlich auf Grundlage von EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sowie dem EU-US Data Privacy Framework (DPF).

Sub-Prozessoren

Vollständige Liste aller Auftragsverarbeiter und Unterauftragsverarbeiter. Änderungen werden Kunden mit Tenants-Admin-Rolle mindestens 14 Tage im Voraus per E-Mail angekündigt (Widerspruchsrecht).

Anbieter	Zweck	Region	AVV
Supabase	Postgres-Datenbank · Auth · Storage	EU · Frankfurt	verfügbar
Vercel	Hosting Marketing-Site + App-Edge	EU · Frankfurt + Paris	verfügbar
Hetzner Online	App-Server (Hauptlast Cockpit)	DE · Frankfurt + Nürnberg	verfügbar
Langdock	LLM-Gateway (OpenAI + Anthropic) für Report-Generierung, Chatbot, Klassifikation	EU · Frankfurt	verfügbar
Resend	Transaktional-E-Mail (Magic Link, Reminder, Notifications)	EU · Frankfurt	verfügbar
Stripe	Abrechnung + Stripe Tax + Invoicing	EU · Dublin (Stripe Payments Europe Ltd.)	verfügbar
n8n GmbH	Workflow-Automation (Backend-Jobs, kein Endkunden-Touch)	EU · Frankfurt	verfügbar
ElevenLabs	Deutsche Voice-Overs für Schulungs-Videos (keine personenbezogenen Daten)	EU · Region buchbar	verfügbar
Higgsfield	KI-generierte Schulungs-Videos (keine personenbezogenen Daten)	US · DPF-Transfer mit Standardvertragsklauseln	verfügbar
Sentry	Error-Monitoring (Anonymisierung aktiv)	EU · Frankfurt	verfügbar
Plausible Analytics	Datenschutz-konforme Web-Analytics (kein Cookie)	EU · Deutschland	verfügbar

Auftragsverarbeitungsvertrag (AVV)

KIcert schließt mit jedem Tenant einen AVV gemäß Art. 28 DSGVO ab. Das Standard-AVV-Template stellen wir vorab zum Review zur Verfügung. Auf Wunsch wird der AVV individuell verhandelt.

Verfahren: Nach Tenant-Setup wird automatisch ein vorausgefüllter AVV per E-Mail an die hinterlegte Datenschutz-Kontaktperson versendet. DocuSign-Signatur möglich.

→ AVV-Template per E-Mail anfordern

Sicherheit

Verschlüsselung

TLS 1.3 In-Transit, AES-256-GCM At-Rest. Backups ausschließlich verschlüsselt in Hetzner Storage Box mit KMS-Rotation alle 90 Tage.

Authentifizierung

Supabase Auth mit Magic Link, Microsoft 365 (OAuth/Entra ID) und Google. Optional SAML-SSO im Enterprise-Tier.

Zugriff

Row-Level-Security pro Tenant. KIcert-Support hat nur mit expliziter Tenant-Zustimmung per Ticket-Flag temporären Zugriff. Vollständiger Audit-Log.

Backup & Recovery

Tägliche Vollsicherung, stündliche Inkrements. RPO 1 h, RTO 4 h. Geo-redundante Sicherung in zweitem EU-Standort.

Pen-Test

Jährlicher Pen-Test durch Cure53 oder NSIDE (Erstprüfung Q3 2026). Geschwärzte Kurzfassung im Trust-Center verfügbar nach Abschluss.

Monitoring

24/7 Sentry-Error-Tracking, Vercel-Performance-Monitoring, Supabase-Logs. Status-Page öffentlich erreichbar.

Compliance-Roadmap

DSGVO · konform seit Tag 1 (Verarbeitungsverzeichnis, Betroffenenrechte automatisiert via Self-Service)
EU AI Act · KIcert selbst nutzt KI-Tools und betreibt eigene KI (Chatbot) — Art-4-Schulung für eigene Mitarbeiter aktiv, Art-50-Kennzeichnung in allen KI-generierten Schulungs-Videos
BFSG · Untertitel und Volltext-Transkript für alle Schulungs-Videos ab v1 (28.06.2025 Stichtag bewusst erfüllt)
ISO 27001:2022 · Scope KIcert Business Unit · Gap-Analyse Q3 2026 · Stage-1-Audit Q1 2027 · Stage-2-Audit Q2 2027 · Zertifikat Mitte Q2 2027
ISO 42001:2023 · KI-Management-System · separate Vorbereitung parallel zu 27001, Zielzeit Q4 2027
SOC 2 Type II · optional ab 2028 wenn Enterprise-Kunden es verlangen

Responsible Disclosure

Sicherheitslücke entdeckt? Wir bedanken uns für jeden Hinweis und antworten binnen 72 Stunden.

Kontakt: security@kicert.eu
PGP-Key-Fingerprint: wird nach Setup hier veröffentlicht
security.txt: /.well-known/security.txt

Kein Bug-Bounty-Programm aktiv. Anerkennung im Trust-Center-Hall-of-Fame nach Vereinbarung.

Vorfallmeldung an Kunden

Bei einem Datenschutzvorfall informieren wir betroffene Kunden ohne unangemessene Verzögerung gemäß Art. 33 DSGVO, spätestens innerhalb von 24 Stunden nach Kenntnis. KI-Vorfälle nach Art. 73 EU AI Act binnen 72 Stunden an die zuständige Behörde (BNetzA).

Datenschutz-Kontakt

Datenschutzbeauftragter: wird vor Beta-Launch bestellt und hier veröffentlicht.

E-Mail: datenschutz@kicert.eu

Postanschrift:Ostendorf Büro- und IT-Systeme GmbH & Co. KG · Datenschutz KIcert · Soestenstraße 5 · 49661 Cloppenburg

Lädt …

Datenstandort

Übermittlung in Drittländer erfolgt ausschließlich auf Grundlage von EU-Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914 sowie dem EU-US Data Privacy Framework (DPF).

Anbieter

Zweck

Region

AVV

Supabase

Postgres-Datenbank · Auth · Storage

EU · Frankfurt

verfügbar

Vercel

Hosting Marketing-Site + App-Edge

EU · Frankfurt + Paris

verfügbar

Hetzner Online

App-Server (Hauptlast Cockpit)

DE · Frankfurt + Nürnberg

verfügbar

Langdock

LLM-Gateway (OpenAI + Anthropic) für Report-Generierung, Chatbot, Klassifikation

EU · Frankfurt

verfügbar

Resend

Transaktional-E-Mail (Magic Link, Reminder, Notifications)

EU · Frankfurt

verfügbar

Stripe

Abrechnung + Stripe Tax + Invoicing

EU · Dublin (Stripe Payments Europe Ltd.)

verfügbar

n8n GmbH

Workflow-Automation (Backend-Jobs, kein Endkunden-Touch)

EU · Frankfurt

verfügbar

ElevenLabs

Deutsche Voice-Overs für Schulungs-Videos (keine personenbezogenen Daten)

EU · Region buchbar

verfügbar

Higgsfield

KI-generierte Schulungs-Videos (keine personenbezogenen Daten)

US · DPF-Transfer mit Standardvertragsklauseln

verfügbar

Sentry

Error-Monitoring (Anonymisierung aktiv)

EU · Frankfurt

verfügbar

Plausible Analytics

Datenschutz-konforme Web-Analytics (kein Cookie)

EU · Deutschland

verfügbar

Auftragsverarbeitungsvertrag (AVV)

KIcert schließt mit jedem Tenant einen AVV gemäß Art. 28 DSGVO ab. Das Standard-AVV-Template stellen wir vorab zum Review zur Verfügung. Auf Wunsch wird der AVV individuell verhandelt.

Verfahren: Nach Tenant-Setup wird automatisch ein vorausgefüllter AVV per E-Mail an die hinterlegte Datenschutz-Kontaktperson versendet. DocuSign-Signatur möglich.

Sicherheit

Verschlüsselung

TLS 1.3 In-Transit, AES-256-GCM At-Rest. Backups ausschließlich verschlüsselt in Hetzner Storage Box mit KMS-Rotation alle 90 Tage.

Authentifizierung

Supabase Auth mit Magic Link, Microsoft 365 (OAuth/Entra ID) und Google. Optional SAML-SSO im Enterprise-Tier.

Zugriff

Row-Level-Security pro Tenant. KIcert-Support hat nur mit expliziter Tenant-Zustimmung per Ticket-Flag temporären Zugriff. Vollständiger Audit-Log.

Backup & Recovery

Tägliche Vollsicherung, stündliche Inkrements. RPO 1 h, RTO 4 h. Geo-redundante Sicherung in zweitem EU-Standort.

Pen-Test

Jährlicher Pen-Test durch Cure53 oder NSIDE (Erstprüfung Q3 2026). Geschwärzte Kurzfassung im Trust-Center verfügbar nach Abschluss.

Monitoring

24/7 Sentry-Error-Tracking, Vercel-Performance-Monitoring, Supabase-Logs. Status-Page öffentlich erreichbar.

Compliance-Roadmap

DSGVO · konform seit Tag 1 (Verarbeitungsverzeichnis, Betroffenenrechte automatisiert via Self-Service)

EU AI Act · KIcert selbst nutzt KI-Tools und betreibt eigene KI (Chatbot) — Art-4-Schulung für eigene Mitarbeiter aktiv, Art-50-Kennzeichnung in allen KI-generierten Schulungs-Videos

BFSG · Untertitel und Volltext-Transkript für alle Schulungs-Videos ab v1 (28.06.2025 Stichtag bewusst erfüllt)

ISO 27001:2022 · Scope KIcert Business Unit · Gap-Analyse Q3 2026 · Stage-1-Audit Q1 2027 · Stage-2-Audit Q2 2027 · Zertifikat Mitte Q2 2027

ISO 42001:2023 · KI-Management-System · separate Vorbereitung parallel zu 27001, Zielzeit Q4 2027

SOC 2 Type II · optional ab 2028 wenn Enterprise-Kunden es verlangen

Responsible Disclosure

Sicherheitslücke entdeckt? Wir bedanken uns für jeden Hinweis und antworten binnen 72 Stunden.

Kontakt: security@kicert.eu
PGP-Key-Fingerprint: wird nach Setup hier veröffentlicht
security.txt: /.well-known/security.txt

Kein Bug-Bounty-Programm aktiv. Anerkennung im Trust-Center-Hall-of-Fame nach Vereinbarung.

Datenschutz, Sicherheit, Compliance

Datenstandort

Sub-Prozessoren

Auftragsverarbeitungs­vertrag (AVV)

Sicherheit

Verschlüsselung

Authentifizierung

Zugriff

Backup & Recovery

Pen-Test

Monitoring

Compliance-Roadmap

Responsible Disclosure

Vorfallmeldung an Kunden

Datenschutz-Kontakt

Datenschutz, Sicherheit, Compliance

Datenstandort

Sub-Prozessoren

Auftragsverarbeitungs­vertrag (AVV)

Sicherheit

Verschlüsselung

Authentifizierung

Zugriff

Backup & Recovery

Pen-Test

Monitoring

Compliance-Roadmap

Responsible Disclosure

Vorfallmeldung an Kunden

Datenschutz-Kontakt

Auftragsverarbeitungsvertrag (AVV)

Auftragsverarbeitungsvertrag (AVV)